-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Der SSH-Server implementiert zwar die kaputte OpenSSL-Version nutzt aber *kein* TLS und ist somit nicht von dem Bug betroffen. Es gibt bei dem System aber noch eine andere nicht geschlossen Lücke bzgl. OpenSSH. Auszug aus dem changelog: # aptitude changelog openssh-server openssh (1:6.0p1-4+deb7u1) stable-security; urgency=high * CVE-2014-2532: Disallow invalid characters in environment variable names to prevent bypassing AcceptEnv wildcard restrictions. * CVE-2014-2653: Attempt SSHFP lookup even if server presents a certificate (closes: #742513). -- Colin Watson <cjwatson@debian.org> Thu, 03 Apr 2014 00:05:17 +0100 lg, Tilo Am 09.04.2014 10:15, schrieb Phillip Wirth:
Mindestens sshd benötigt openssl. Vielleicht ist auch ein exim4 installiert. Das wäre auch betroffen. Bei mutt weiß ichs leider nicht ;)
Die Mongo Kisten sind wohl auch betroffen... pwirth@mongo07:~$ openssl OpenSSL> version OpenSSL 1.0.1 14 Mar 2012
Am 09.04.2014 10:07, schrieb Tilo Werner:
Ja, der ist wie alle Debian 7 aka Wheezy Maschinen betroffen.
Dort sind aber auch so
- 52 Sicherheitsaktualisierungen - 91 normale Aktualisierungen
offen...
Die nächste Frage ist, welcher Dienst dort mit OpenSSL läuft?
lg, Tilo
Am 09.04.2014 09:35, schrieb Phillip Wirth:
Huhu,
kannst du uns sagen welche Versionen genau betroffen sind? Auf bolek läuft z.B. root@bolek /home/pwirth # openssl OpenSSL> version OpenSSL 1.0.1e 11 Feb 2013
Nach einem Update bei mir zu hause musste ich alle Programme die openssl in irgendeiner weise verwenden bevor die gewünschte Wirkung eintraf. (Kommt glaube ich auch bei der Update routine)
Am 08.04.2014 23:49, schrieb Tilo Werner:
Hallo,
wie das Netz heute berichtete gab/gibt es einen OpenSSL-Bug, der heute veröffentlicht worden ist [1]. Dazu gibt es auch Testseiten, die das Verhalten der evtl. betroffenen Server/Dienste testen [2].
Ich habe eben unsere Dienste getestet:
* mx1.mailmanager.de -> nicht betroffen, da zu alt * stellvertretend für die alten Systeme (Lenny/Apache2.2) service01.jt.xres.de -> nicht betroffen, da zu alt * {for,xpur,hocl}.xres.de -> betroffen und behoben * *.traso.de -> betroffen und behoben
Falls euch zusätzlich noch Dienste/Server einfallen, dann werde ich diese morgen aktualisieren.
Auch werde ich prüfen, ob wir für die verwundeten System die SSL-Schlüssel neu ausstellen lassen.
[1]
http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-...
[2] http://filippo.io/Heartbleed/
lg, Tilo
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
--
Mit freundlichen Grüßen
Phillip Wirth - Entwicklung - ________________________________________________________ TraSo GmbH
Georg-Schumann-Str. 294 D-04159 Leipzig
E-Mail: p.wirth@traso.de Internet: http://www.traso.de
________________________________________________________ Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig, HRB 21850
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
--
Mit freundlichen Grüßen
Phillip Wirth - Entwicklung - ________________________________________________________ TraSo GmbH
Georg-Schumann-Str. 294 D-04159 Leipzig
E-Mail: p.wirth@traso.de Internet: http://www.traso.de
________________________________________________________ Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig, HRB 21850
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
- -- Mit freundlichen Grüßen Tilo Werner - - Systemadministration - _______________________________________________ TraSo GmbH G.-Schumann-Str. 294 04159 Leipzig E-Mail: t.werner@traso.de Internet: https://www.traso.de _______________________________________________ Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig (HRB 21850) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.14 (GNU/Linux) iQIcBAEBAgAGBQJTRQS+AAoJEFfjOJdKpi1Ei/MP/2MWaOPzSOBBRBi9G6lhwJiP z3x+YKX/S6CmcylKcn6ejb9O8btqpBljhx5GT4hxMT/eXjQO/c7E/tPm2T2M7vGC 0XPVkIacmuSJntu3o01OVNh3XyFfvOd5CUybucghcz2OkYBn4ziJ07NnbQKhQHu0 NtwHzSkG9j7OYHxrcGyPsonAXX5CGLYcESUZepgEEtuoxBhIFyI/WwOUisfOV6bH FVx1Db24Y1TEw76P9oY0Nz2qFkMFurWSZhMsWVyFZYErqKvT3eCoaL2g+XXq8v4w 3Y5s5B8vHmSvSmj8Vdo2bwVtzQ6aM0VZomCocqMKynk+hXddbI3T5BFx4g81eIyD s9trPjd824q2sI3UdQ+TNRKihnInkqbXzV+Nv3QQGg75ljtAZfPlBPuli3XgtVhk AFjEGk/sc25FCOCCL0JAx1xzxgjGBv6xB2sKNbdxuH2uNgH7uPlzcg25BODANC4d y2+DVluTyoJtQKvcqTBcI5RGAV0cwAfdkAw4zgx5I4ylE7W/B0u4wAE0zjGaXmIA gajgZAfKhG5aWR4JeTraFlt9WAK7SXZzLv5BOClA/QUAb2N68JIrgMrmaOtgD6Yf LJNQNPzbK5ML43ZBAsbWzAKAIlnfZkJrlq3jefwlYbrg5dMH6MbhUA54JSF87jGS xUDBs9FU6B6euFYV+5lE =ggkg -----END PGP SIGNATURE-----